Kontrol Security Hub untuk Amazon EKS - AWS Security Hub
[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi[EKS.6] Kluster EKS harus ditandai[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon EKS

Kontrol Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Kubernetes Service (Amazon EKS).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik

Persyaratan terkait: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EKS::Cluster

AWS Config aturan: eks-endpoint-no-public-access

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah titik akhir kluster Amazon EKS dapat diakses publik. Kontrol gagal jika kluster EKS memiliki titik akhir yang dapat diakses publik.

Saat Anda membuat klaster baru, Amazon EKS membuat endpoint untuk server API Kubernetes terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda. Secara default, titik akhir server API ini tersedia untuk umum di internet. Akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan Kubernetes Role Based Access Control (RBAC) asli. Dengan menghapus akses publik ke titik akhir, Anda dapat menghindari eksposur yang tidak disengaja dan akses ke cluster Anda.

Remediasi

Untuk mengubah akses titik akhir untuk kluster EKS yang ada, lihat Memodifikasi akses titik akhir klaster di Panduan Pengguna Amazon EKS. Anda dapat mengatur akses titik akhir untuk kluster EKS baru saat membuatnya. Untuk petunjuk cara membuat kluster Amazon EKS baru, lihat Membuat klaster Amazon EKS di Panduan Pengguna Amazon EKS.

[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.r5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4

Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EKS::Cluster

AWS Config aturan: eks-cluster-supported-version

Jenis jadwal: Perubahan dipicu

Parameter:

  • oldestVersionSupported: 1.29 (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Kontrol gagal jika kluster EKS berjalan pada versi yang tidak didukung.

Jika aplikasi Anda tidak memerlukan versi Kubernetes tertentu, kami sarankan Anda menggunakan versi Kubernetes terbaru yang tersedia yang didukung oleh EKS untuk cluster Anda. Untuk informasi selengkapnya, lihat Kalender rilis Amazon EKS Kubernetes dan dukungan versi Amazon EKS serta FAQ di Panduan Pengguna Amazon EKS.

Remediasi

Untuk memperbarui kluster EKS, Memperbarui versi Kubernetes kluster Amazon EKS di Panduan Pengguna Amazon EKS.

[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi

Persyaratan terkait: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.R5 SI-28, PCI DSS v4.0.1/8.3.2

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EKS::Cluster

AWS Config aturan: eks-cluster-secrets-encrypted

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah klaster Amazon EKS menggunakan rahasia Kubernetes terenkripsi. Kontrol gagal jika rahasia Kubernetes cluster tidak dienkripsi.

Saat Anda mengenkripsi rahasia, Anda dapat menggunakan kunci AWS Key Management Service (AWS KMS) untuk menyediakan enkripsi amplop rahasia Kubernetes yang disimpan di etcd untuk klaster Anda. Enkripsi ini merupakan tambahan dari enkripsi volume EBS yang diaktifkan secara default untuk semua data (termasuk rahasia) yang disimpan dalam etcd sebagai bagian dari cluster EKS. Menggunakan enkripsi rahasia untuk kluster EKS Anda memungkinkan Anda untuk menerapkan strategi pertahanan secara mendalam untuk aplikasi Kubernetes dengan mengenkripsi rahasia Kubernetes dengan kunci KMS yang Anda tentukan dan kelola.

Remediasi

Untuk mengaktifkan enkripsi rahasia pada kluster EKS, lihat Mengaktifkan enkripsi rahasia pada klaster yang ada di Panduan Pengguna Amazon EKS.

[EKS.6] Kluster EKS harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EKS::Cluster

AWS Config aturan: tagged-eks-cluster (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah klaster Amazon EKS memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke kluster EKS, lihat Menandai resource Amazon EKS Anda di Panduan Pengguna Amazon EKS.

[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EKS::IdentityProviderConfig

AWS Config aturan: tagged-eks-identityproviderconfig (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah konfigurasi penyedia identitas Amazon EKS memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke konfigurasi penyedia identitas EKS, lihat Menandai resource Amazon EKS Anda di Panduan Pengguna Amazon EKS.

[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit

Persyaratan terkait: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4, Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EKS::Cluster

AWS Config aturan: eks-cluster-log-enabled

Jenis jadwal: Perubahan dipicu

Parameter:

  • logTypes: audit(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon EKS telah mengaktifkan pencatatan audit. Kontrol gagal jika pencatatan audit tidak diaktifkan untuk klaster.

catatan

Kontrol ini tidak memeriksa apakah pencatatan audit Amazon EKS diaktifkan melalui Amazon Security Lake untuk Akun AWS.

Pencatatan pesawat kontrol EKS menyediakan log audit dan diagnostik langsung dari bidang kontrol EKS ke Amazon CloudWatch Logs di akun Anda. Anda dapat memilih jenis log yang Anda butuhkan, dan log dikirim sebagai aliran log ke grup untuk setiap kluster EKS. CloudWatch Logging memberikan visibilitas ke dalam akses dan kinerja kluster EKS. Dengan mengirimkan log pesawat kontrol EKS untuk kluster EKS Anda ke CloudWatch Log, Anda dapat merekam operasi untuk tujuan audit dan diagnostik di lokasi pusat.

Remediasi

Untuk mengaktifkan log audit untuk kluster EKS Anda, lihat Mengaktifkan dan menonaktifkan log bidang kontrol di Panduan Pengguna Amazon EKS.